AWSSupport-TerminateIPMonitoringFromVPC - AWS Systems Manager Riferimento al runbook di automazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSSupport-TerminateIPMonitoringFromVPC

Descrizione

AWSSupport-TerminateIPMonitoringFromVPCtermina un test di monitoraggio IP precedentemente avviato da. AWSSupport-SetupIPMonitoringFromVPC I dati relativi all'ID test specificato verranno eliminati.

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

LinuxmacOS, Windows

Parametri

  • AutomationAssumeRole

    Tipo: stringa

    Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

  • AutomationExecutionId

    Tipo: stringa

    Descrizione: (Obbligatorio) L'ID di esecuzione dell'automazione utilizzato al momento dell'esecuzione precedente del AWSSupport-SetupIPMonitoringFromVPC runbook. Tutte le risorse associate a questo ID di esecuzione vengono eliminate.

  • InstanceId

    Tipo: stringa

    Descrizione: (obbligatorio) ID istanza dell'istanza di monitoraggio.

  • SubnetId

    Tipo: stringa

    Descrizione: (obbligatorio) ID sottorete dell'istanza di monitoraggio.

IAMAutorizzazioni richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

Si consiglia di allegare la policy IAM gestita A mazonSSMAutomation Role all'utente che esegue l'automazione. Inoltre, l'utente deve avere la seguente politica allegata al proprio utente, gruppo o ruolo: 

{
"Version": "2012-10-17",
"Statement": [
    {
        "Action": [
            "iam:DetachRolePolicy",
            "iam:RemoveRoleFromInstanceProfile",
            "iam:DeleteRole",
            "iam:DeleteInstanceProfile",
            "iam:DeleteRolePolicy"
        ],
        "Resource": [
            "arn:aws:iam::An-AWS-Account-ID:role/AWSSupport/SetupIPMonitoringFromVPC_*",
            "arn:aws:iam::An-AWS-Account-ID:instance-profile/AWSSupport/SetupIPMonitoringFromVPC_*"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "iam:DetachRolePolicy"
        ],
        "Resource": [
            "arn:aws:iam::aws:policy/service-role/AmazonSSMManagedInstanceCore"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "cloudwatch:DeleteDashboards"
        ],
        "Resource": [
            "*"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "ec2:DescribeTags",
            "ec2:DescribeInstances",
            "ec2:DescribeSecurityGroups",
            "ec2:DeleteSecurityGroup",
            "ec2:TerminateInstances",
            "ec2:DescribeInstanceStatus"
        ],
        "Resource": [
            "*"
        ],
        "Effect": "Allow"
    ]
}

Fasi del documento

  1. aws:assertAwsResourceProperty- InstanceId controllano AutomationExecutionId e sono correlati allo stesso test.

  2. aws:assertAwsResourceProperty- InstanceId controllano SubnetId e sono correlati allo stesso test.

  3. aws:executeAwsApi- recupera il gruppo di sicurezza del test.

  4. aws:executeAwsApi- elimina la CloudWatch dashboard.

  5. aws:changeInstanceState- terminare l'istanza di test.

  6. aws:executeAwsApi- rimuove il profilo dell'IAMistanza dal ruolo.

  7. aws:executeAwsApi- elimina il profilo di IAM istanza creato dall'automazione.

  8. aws:executeAwsApi- elimina la politica CloudWatch in linea dal ruolo creato dall'automazione.

  9. aws:executeAwsApi- scollegare la politica mazonSSMManaged InstanceCore gestita A dal ruolo creato dall'automazione.

  10. aws:executeAwsApi- elimina il IAM ruolo creato dall'automazione.

  11. aws:executeAwsApi- elimina il gruppo di sicurezza creato dall'automazione, se esiste.

Output

Nessuno